Buch lesen: «Praxishandbuch DSGVO», Seite 17

Tobias Rothkegel, Jens Schefzig, Stephan Hansen-Oest, Tina Gausling, Marian Arning Ulrich Baumgartner Ingo Braun Cay Lennart Cornelius Eva Gardyan-Eisenlohr Carmen Heinemann Per Meyerdierks Flemming Moos Leif Rohwedder Laurenz Strassemeyer Anna Zeiter und andere

Schriftart:

b) Scoring und Bonitätsauskünfte gem. § 31 BDSG

118

In § 31 BDSG hat der deutsche Gesetzgeber spezielle Regelungen im Hinblick auf das Scoring, also die Verwendung eines Wahrscheinlichkeitswerts über ein bestimmtes zukünftiges Verhalten einer natürlichen Person zum Zweck der Entscheidung über die Begründung, Durchführung oder Beendigung eines Vertragsverhältnisses mit dieser Person, erlassen. Der Sinn und Zweck dieser nationalen Sondervorschrift besteht darin, den Wirtschaftsverkehr zu schützen. Insbesondere sollen die Funktionsfähigkeit der Wirtschaft, die auf die Ermittlung der Kreditwürdigkeit und die Erteilung von Bonitätsauskünften angewiesen sei, sowie Verbraucher vor Überschuldung geschützt werden.176

119

Dabei ist zu beachten, dass es sich bei § 31 BDSG wohl um keine eigenständige gesetzliche Erlaubnisnorm handelt, die allein die Verarbeitung personenbezogener Daten in diesem Zusammenhang erlauben kann. So umfasst die Vorschrift allein vom Wortlaut her schon nicht (direkt) die Bildung des Scorewertes oder die Einmeldung von Daten bei einer Auskunftei.177 Allerdings knüpft § 31 Abs. 1 BDSG die Verwendung eines Scorewertes an bestimmte Voraussetzungen, die bereits bei der Bildung dieses Wertes zu berücksichtigen sind, so dass § 31 BDSG indirekt auch Anforderungen für die Einmeldung von Daten und für die Bildung des Scorewertes aufstellt.178 Grundsätzlich richtet sich die Zulässigkeit der mit der Einmeldung und der Bildung des Scorewertes verbundenen Datenverarbeitung aber nach Art. 6 DSGVO.179 Wurden die Daten ursprünglich zu anderen Zwecken erhoben, sind auch die Anforderungen an die Zweckänderung gem. Art. 6 Abs. 4 DSGVO zu beachten.180

120

Aber auch die mit der Verwendung des Scorewertes verbundene Datenverarbeitung kann wohl nicht ausschließlich auf § 31 BDSG gestützt werden. Vielmehr richtet sich wohl auch deren Zulässigkeit zunächst einmal nach den allgemeinen Erlaubnisvorschriften, i.d.R. nach Art. 6 Abs. 1 lit. a, b, c oder f DSGVO.181 Übernimmt eine Vertragspartei z.B. ein Kreditrisiko, kann die Verwendung des Scorewertes an sich – soweit keine Einwilligung der betroffenen Person vorliegt – z.B. gegebenenfalls auf Art. 6 Abs. 1 lit. b oder auf Art. 6 Abs. 1 lit. f DSGVO gestützt werden.182 Werden dabei allerdings die Anforderungen des § 31 BDSG nicht eingehalten, darf der Scorewert (dennoch) nicht verwendet werden.183

121

§ 31 Abs. 1 BDSG enthält dabei die grundlegenden Voraussetzungen, unter denen ein Scorewert verwendet werden darf, die kumulativ vorliegen müssen:

1. Die Vorschriften des Datenschutzrechts müssen (insbesondere bei der Einmeldung und Berechnung des Scorewertes) eingehalten worden sein, i.d.R. die Anforderungen an die Einwilligung oder Art. 6 Abs. 1 lit. b bzw. f ggf. i.V.m. Abs. 4 DSGVO.184

2. Die zur Berechnung des Wahrscheinlichkeitswertes genutzten Daten müssen unter Zugrundelegung eines wissenschaftlich anerkannten mathematischstatistischen Verfahrens nachweisbar für die Berechnung der Wahrscheinlichkeit des bestimmten Verhaltens erheblich sein.

3. Für die Berechnung des Wahrscheinlichkeitswertes dürfen nicht ausschließlich Anschriftendaten genutzt worden sein.

4. Im Fall der Nutzung von Anschriftendaten muss die betroffene Person vor Berechnung des Wahrscheinlichkeitswertes über die vorgesehene Nutzung dieser Daten unterrichtet worden sein, wobei die Unterrichtung zu dokumentieren ist.

122

§ 31 Abs. 2 S. 1 BDSG enthält sodann noch besondere, zu den Voraussetzungen gem. § 31 Abs. 1 BDSG hinzutretende Anforderungen für den Fall, dass der zu verwendende Scorewert über die Zahlungsfähig- und Zahlungswilligkeit einer natürlichen Person von einer Auskunftei berechnet wurde und dabei auch Daten über Forderungen mit einbezogen wurden.185 Die Zulässigkeit der Verarbeitung von anderen bonitätsrelevanten Daten, wie z.B. von Positivdaten, richtet sich gem. § 31 Abs. 2 S. 2 BDSG, auch zum Zwecke des Scorings, nach den (allgemeinen) Vorgaben der DSGVO.186

123

Zusätzlich können in diesem Zusammenhang auch noch die Vorgaben des Art. 22 DSGVO, also das Recht der betroffenen Person, keinen automatisierten Entscheidungen im Einzelfall unterworfen zu werden, zu beachten sein.187

124

Inwiefern der deutsche Gesetzgeber neben Art. 6 DSGVO und Art. 22 DSGVO auf nationaler Ebene noch spezielle Regelungen zum Scoring/zu Bonitätsauskünften einführen durfte, ist hochgradig umstritten.188 In einem Referentenentwurf für das „neue“ BDSG beriefen sich die Verfasser auf eine Regelungsbefugnis aus Art. 6 Abs. 4 DSGVO i.V.m. Art. 23 Abs. 1 lit. e DSGVO.189 In der finalen Gesetzesbegründung findet sich diese Passage aber nicht mehr. Vielmehr gibt der Gesetzgeber hier keine spezielle Öffnungsklausel mehr an, auf die er sich bei der Regelung beruft.

125

Teilweise wird vertreten, dass sich zumindest eine gewisse Regelungsbefugnis für die Mitgliedstaaten auch noch aus Art. 22 Abs. 2 lit. b DSGVO ergeben könne.190 Allerdings bezieht sich diese Öffnungsklausel nur auf automatisierte Entscheidungen im Einzelfall gem. Art. 22 Abs. 1 DSGVO und nicht auf das hiervon zu unterscheidende Scoring bzw. die hiervon zu unterscheidende Bonitätsauskunft.191 Eine Befugnis der Mitgliedstaaten, Art. 6 Abs. 1 lit. f DSGVO („Datenverarbeitung infolge einer Interessenabwägung“) weiter zu spezifizieren, scheidet wohl auch aus.192 Teilweise wird daher vertreten, dass sich in der DSGVO keine Öffnungsklausel für spezielle Regelungen in diesem Bereich auf nationaler Ebene befinde und dies auch dem Willen des Verordnungsgebers entspreche.193 Andere Autoren sind ebenfalls der Auffassung, dass sich in der DSGVO keine entsprechende Öffnungsklausel befinde, es sich bei den Regelungen zum Scoring aber auch zuvorderst um verbraucherschützende Vorschriften handeln würde und sie deshalb auf eine Befugnis aus diesem Bereich gestützt werden könnten.194 Weitere Autoren sind der Ansicht, dass § 31 BDSG auf die in Art. 23 Abs. 1 lit. i („Sicherstellung des Schutzes der betroffenen Person oder der Rechte und Freiheiten anderer Personen“) und lit. e („Sicherstellung des Schutzes sonstiger wichtiger Ziele des allgemeinen öffentlichen Interesses der Union oder eines Mitgliedstaats [...]“) DSGVO enthaltenen Öffnungsklauseln gestützt werden könne.195

126

Auch wenn somit derzeit noch nicht entschieden ist, ob der deutsche Gesetzgeber überhaupt befugt war, die Vorgaben an die Datenverarbeitung in § 31 BDSG zu erlassen oder ob diese Regelungen europarechtswidrig sind, sollten sich Unternehmen bei der Verwendung von Scorewerten und Bonitätsauskünften zur Vermeidung etwaiger Haftungsrisiken zumindest bis auf Weiteres an die Vorgaben aus § 31 BDSG halten.

127

So kann die Einhaltung der Vorgaben aus § 31 BDSG auch maßgeblich dazu beitragen, dass eine Interessenabwägung im Rahmen von Art. 6 Abs. 1 lit. f DSGVO („Verarbeitung infolge einer Interessenabwägung“), der – soweit die Regelungsbefugnis der Mitgliedstaaten abgelehnt wird – die Verwendung derartiger Daten in vielen Fällen regeln würde, zugunsten des Unternehmens ausgeht.196

128

Allerdings besitzt vorliegende Frage dennoch eine hohe praktische Relevanz: So könnte die Verwendung von Scorewerten geringeren Anforderungen unterliegen, wenn Unternehmen in diesem Zusammenhang nur die Vorgaben aus Art. 6 Abs. 1 lit. f DSGVO (bzw. einer anderen Erlaubnisvorschrift aus Art. 6 Abs. 1 DSGVO) und nicht auch die aus § 31 BDSG beachten müssten.

129

Endgültige Klarheit wird hier wahrscheinlich erst eine Entscheidung des EuGH bringen. Unternehmen, die Scorewerte oder Bonitätsauskünfte verwenden wollen, sollten jedenfalls prüfen, ob in der Zwischenzeit relevante Hinweise der Datenschutzaufsichtsbehörden bzw. Gerichtsentscheidungen ergangen sind.

c) Verhältnis zwischen dem Kunsturhebergesetz und der DSGVO

130

Hoch umstritten ist in der Praxis ebenfalls das Verhältnis zwischen dem KUG und der DSGVO, insbesondere Art. 6 Abs. 1 lit. f DSGVO. Diese Frage, mit der sich auch bereits mehrere deutsche Gerichte auseinandergesetzt haben, ist insbesondere für die Fragen relevant, unter welchen Voraussetzungen Bildnisse, wie z.B. Foto- und Videoaufnahmen von Menschen,197 angefertigt und verwendet, insbesondere veröffentlicht, werden dürfen, welche Anforderungen an eine Einwilligung und deren Widerrufbarkeit zu stellen und welche Informationspflichten insoweit zu erfüllen sind.198

131

Aufgrund der Vielzahl an unterschiedlichen Meinungen können an dieser Stelle nur die wesentlichen Grundzüge der Thematik im Hinblick auf die Zulässigkeit der Anfertigung und Verwendung von Bildnissen erläutert werden:

132

Das KUG regelt in §§ 22 und 23 nur die Verbreitung und die öffentliche Zurschaustellung199 von Bildnissen.200 Daher bemisst sich jedenfalls im Übrigen die Zulässigkeit der Anfertigung und Verwendung von Bildnissen nach allgemeiner Ansicht nach den Regelungen der DSGVO – insbesondere z.B. die Zulässigkeit der Aufnahme des Bildnisses und dessen Speicherung auf einem Datenträger.201

Achtung

Im Hinblick auf Verarbeitungen zu journalistischen Zwecken (sowie ggf. weiteren Zwecken, wie z.B. künstlerischen und literarischen) können die Bundesländer ggf. (weitgehende) Ausnahmen von der Anwendbarkeit der DSGVO oder Abweichungen von den Regelungen der DSGVO vorgesehen haben. Insbesondere können deshalb ggf. auch Art. 6 und 7 DSGVO nicht anwendbar sein. Daher ist auch bei den weiteren Ausführungen stets zu berücksichtigen, dass die DSGVO insoweit ggf. gar nicht anwendbar sein kann.

133

Hinsichtlich der Zulässigkeit der Verbreitung und der öffentlichen Zurschaustellung von Bildnissen werden dann viele unterschiedliche Ansichten vertreten:

134

Nach einer Ansicht verdrängen §§ 22 und 23 KUG die DSGVO – und zwar unabhängig davon, für welchen Zweck das Bildnis genutzt wird, da der bundesdeutsche Gesetzgeber auf Grundlage der in Art. 85 Abs. 1 DSGVO („Abwägung des Rechts auf den Schutz personenbezogener Daten gemäß der DSGVO mit dem Recht auf freie Meinungsäußerung und Informationsfreiheit durch nationale Vorschriften der Mitgliedstaaten“) enthaltenen Öffnungsklausel befugt sei, hierzu eine nationale gesetzliche Regelung zu erlassen bzw. beizubehalten.202 Teilweise wird allerdings einschränkend vertreten, dass die hier relevante Öffnungsklausel nicht Art. 85 Abs. 1 DSGVO, sondern Art. 85 Abs. 2 DSGVO sei und das KUG der DSGVO daher nur dann vorgehe, wenn das Bildnis zu journalistischen, wissenschaftlichen, künstlerischen oder literarischen Zwecken genutzt werde – ansonsten gelte die DSGVO, z.B. wenn das Bildnis für PR- oder Werbezwecke verwendet wird.203 Der BGH hat in diesem Zusammenhang festgestellt, dass die DSGVO (jedenfalls) im journalistischen Bereich der Anwendbarkeit der §§ 22, 23 KUG im Hinblick auf die Beurteilung der Zulässigkeit der Bildveröffentlichung nicht entgegenstehe.204

135

Nach einer anderen Ansicht findet das KUG – ganz unabhängig vom Zweck, für den die Bildnisse verarbeitet werden – keine Anwendung mehr, da das KUG auf keine der in der DSGVO enthaltenen Öffnungsklauseln gestützt werden könne, zumal dem Bundesgesetzgeber auch die Gesetzgebungsbefugnis für den Bereich der Presse fehle und er damit auch die Verbreitung und öffentliche Zurschaustellung von Bildnissen zu journalistischen Zwecken gar nicht regeln dürfe.205 Somit werden nach dieser Auffassung auch die Verarbeitung und öffentliche Zurschaustellung von Bildnissen von Menschen umfassend durch die DSGVO geregelt, wobei aber ggf. die Haushaltsausnahme in Art. 2 Abs. 2 lit. c DSGVO zu beachten ist.

136

Unternehmen ist vor diesem Hintergrund zu empfehlen, die gesetzgeberischen Aktivitäten in diesem Bereich sowie die Rechtsprechung zu diesem Thema genau zu verfolgen, die (hoffentlich) zu einer Klärung dieser für die Praxis hoch relevanten Frage führen werden. In der Zwischenzeit sollten Unternehmen prüfen, ob weitere Datenschutzaufsichtsbehörden Stellungnahmen oder Hinweise zu dieser Thematik veröffentlicht haben. Ganz generell lassen sich nach derzeitigem Stand die folgenden Empfehlungen geben:

– Für alle Verarbeitungsaktivitäten, die schon gar nicht in den generellen Anwendungsbereich der §§ 22 und 23 KUG fallen – insbesondere die Aufnahme und Speicherung von Bildnissen –, müssen sich Unternehmen grundsätzlich nach den Vorgaben der DSGVO richten.

– Soweit Bildnisse verbreitet oder öffentlich zur Schau gestellt werden, müssen Unternehmen für sich die Frage beantworten, wie risikoaffin sie sind. Um sämtliche Haftungsrisiken zu vermeiden, müssen Unternehmen die im jeweiligen Fall relevanten Anforderungen der §§ 22 und 23 KUG sowie der DSGVO miteinander vergleichen und jeweils die strengeren Anforderungen einhalten.206

– Ist das Unternehmen hingegen bereit, gewisse rechtliche Risiken zu akzeptieren, kann das Unternehmen – vor dem Hintergrund und auf Basis der bisher ergangenen Rechtsprechung – im Hinblick auf die Zulässigkeit der Verbreitung und öffentlichen Zurschaustellung eines Bildnisses nach dem Verwendungszweck differenzieren: Erfolgt die Verbreitung oder öffentliche Zurschaustellung zu journalistischen Zwecken, kann es sich insoweit nach §§ 22 und 23 KUG richten – sofern in diesem Fall nicht ohnehin die Landespresse- bzw. Landesmediengesetze anwendbar sind.207 Ebenso könnten Verantwortliche sich ggf. nach §§ 22 und 23 KUG richten, wenn die Verbreitung oder öffentliche Zurschaustellung wissenschaftlichen, künstlerischen oder literarischen Zwecken dient. Erfolgt die Verbreitung oder öffentliche Zurschaustellung hingegen zu anderen Zwecken, z.B. zu gewerblichen Zwecken, zu PR- oder zu Werbezwecken, kann sich das Unternehmen auch im Hinblick auf die Verbreitung und öffentliche Zurschaustellung der Bildnisse nach den Vorgaben der DSGVO richten. In den meisten Fällen wird sich die Zulässigkeit der Datenverarbeitung dann wohl nach Art. 6 Abs. 1 lit. f DSGVO bemessen, wobei das Unternehmen im Rahmen der erforderlichen Interessenabwägung aber auch die bisher zu §§ 22 und 23 KUG ergangene Rechtsprechung berücksichtigen sollte.208 Allerdings verbleibt insoweit das Risiko, dass ein Gericht zur Anwendbarkeit des jeweils anderen Gesetzes kommt und das Unternehmen die spezifischen Anforderungen dieses Gesetzes im Einzelfall nicht einhält. Dieses Risiko ist aber wiederum dadurch begrenzt, dass die §§ 22 und 23 KUG und die maßgeblichen Erlaubnisvorschriften der DSGVO durchaus Gemeinsamkeiten aufweisen und Verantwortliche die jeweils anderen Vorschriften – soweit diese Gemeinsamkeiten reichen – quasi automatisch miterfüllen – gerade wenn der Verantwortliche die Vorgaben der §§ 22 und 23 KUG einhält.209

7. Zweckänderung – Verarbeitung personenbezogener Daten zu einem anderen Zweck

137

Hat ein Verantwortlicher personenbezogene Daten für einen bestimmten Zweck erhoben, darf er sie grundsätzlich auch nur für diesen Zweck verarbeiten. Dies folgt aus dem in Art. 5 Abs. 1 lit. b DSGVO normierten Prinzip der Zweckbindung. Möchte ein Verantwortlicher personenbezogene Daten auch für andere Zwecke verwenden, muss eine der drei folgenden Bedingungen erfüllt sein, damit die Zweckänderung rechtmäßig ist (vgl. Erwägungsgrund 50 i.V.m. Art. 6 Abs. 4 DSGVO):

1. Eine (spezielle) Rechtsvorschrift der EU oder eines Mitgliedstaates zum Schutz der in Art. 23 Abs. 1 DSGVO genannten Ziele (z.B. nationale Sicherheit, Landesverteidigung etc. (siehe Rn. 139ff.)) erlaubt die Verarbeitung der personenbezogenen Daten zu einem anderen Zweck.

2. Die betroffene Person hat in die Verarbeitung ihrer Daten zu dem anderen Zweck eingewilligt.

3. Die Weiterverarbeitung erfolgt zu einem Zweck, der gem. Art. 6 Abs. 4 DSGVO mit dem Zweck, für den die Daten ursprünglich erhoben wurden, vereinbar ist.

138

Alternativ kann der Verantwortliche die personenbezogenen Daten für den neuen Zweck, für die er die Daten verarbeiten möchte, auch noch neu erheben, sofern dies datenschutzrechtlich zulässig ist.

a) Zweckänderung auf Basis einer Rechtsvorschrift

139

Zunächst ist eine Zweckänderung zulässig, wenn eine (spezielle) Rechtsvorschrift (i) der EU oder (ii) eines Mitgliedstaates zum Schutz der in Art. 23 Abs. 1 DSGVO genannten Ziele die Verarbeitung der personenbezogenen Daten zu einem anderen Zweck erlaubt.

140

Der bundesdeutsche Gesetzgeber hat von dieser Öffnungsklausel in §§ 23 und 24 BDSG Gebrauch gemacht.210 Außerdem hat er für den Fall der Videoüberwachung öffentlich zugänglicher Räume gem. § 4 Abs. 3 S. 2 BDSG besondere Regelungen zur Zweckänderung getroffen.

Nationale Regelungen in Deutschland

1. § 24 BDSG: Zweckänderung

141

Der deutsche Gesetzgeber hat in § 24 BDSG eine Erlaubnis für die Verarbeitung von Daten zu einem anderen Zweck normiert. § 24 Abs. 1 BDSG regelt die Verarbeitung „normaler“ personenbezogener Daten durch nicht-öffentliche Stellen, wie privatwirtschaftliche Unternehmen, zu einem anderen Zweck und § 24 Abs. 2 BDSG die Verarbeitung besonderer Kategorien personenbezogener Daten i.S.d. Art. 9 Abs. 1 DSGVO.211

142

Nach § 24 Abs. 1 BDSG dürfen Verantwortliche212 personenbezogene Daten zu einem anderen Zweck als dem, für welchen sie erhoben wurden, verarbeiten, wenn

1. die Verarbeitung zur Abwehr von Gefahren für die staatliche oder öffentliche Sicherheit oder zur Verfolgung von Straftaten erforderlich ist oder

2. sie zur Geltendmachung, Ausübung oder Verteidigung zivilrechtlicher Ansprüche erforderlich ist.

143

Ist eine dieser beiden Bedingungen erfüllt, ist zudem noch eine Interessenabwägung vorzunehmen. Nur wenn die Interessen der betroffenen Person an dem Ausschluss der Verarbeitung nicht überwiegen, ist die Zweckänderung nach § 24 Abs. 1 BDSG zulässig.

144

Mithin ist es hier nicht wie bei der Zweckänderung auf Basis eines Kompatibilitätstests nach Art. 6 Abs. 4 DSGVO erforderlich, dass der Zweck, für den die Daten weiterverarbeitet werden, mit dem Ursprungszweck, für den die Daten erhoben wurden, vereinbar ist.

145

Die Datenverarbeitung zur Abwehr von Gefahren für die staatliche oder öffentliche Sicherheit sowie zur Verfolgung von Straftaten wird insbesondere dann relevant, wenn ein Verantwortlicher Daten, die er für eigene Zwecke erhoben hat, nun für die genannten Zwecke aufbewahrt und sie an die für den Schutz dieser Güter zuständigen Behörden übermittelt.213

146

Im Hinblick auf die Tatbestandsmerkmale der Geltendmachung, Ausübung oder Verteidigung zivilrechtlicher Ansprüche kann auf die Ausführungen zu Art. 9 Abs. 2 lit. f DSGVO verwiesen werden.214 Zu beachten ist hierbei aber, dass der Anwendungsbereich des § 24 Abs. 1 Nr. 2 BDSG auf zivilrechtliche Ansprüche beschränkt ist.

147

Es ist allerdings zweifelhaft, ob § 24 Abs. 1 BDSG europarechtskonform ist, da umstritten ist, ob für beide in § 24 Abs. 1 BDSG genannten Alternativen eine entsprechende Öffnungsklausel existiert.215 Zumindest für § 24 Abs. 1 Nr. 1 BDSG wird dies aber wohl überwiegend angenommen.216 § 24 Abs. 1 Nr. 2 BDSG wird demgegenüber deutlich kritischer betrachtet.217 Vor allem wenn eine geplante Zweckänderung auf § 24 Abs. 1 Nr. 2 BDSG gestützt werden soll, ist Unternehmen vor diesem Hintergrund zu empfehlen, genau zu prüfen, ob diese eventuell auch auf eine andere Rechtsgrundlage gestützt werden kann. Andernfalls sollten Unternehmen, wenn die Weiterverarbeitung zu einem anderen Zweck eine gewisse Relevanz aufweist, diese – wenn möglich und praktisch durchführbar – mit den zuständigen Datenschutzaufsichtsbehörden abstimmen und in jedem Fall prüfen, ob in der Zwischenzeit relevante Rechtsprechung oder Hinweise der Datenschutzaufsichtsbehörden hierzu ergangen sind. Endgültige Klarheit wird in diesem Fall wahrscheinlich erst eine Entscheidung des EuGH bringen können.

2. § 4 Abs. 3 S. 3 BDSG: Zweckänderung bei Videoüberwachung öffentlich zugänglicher Räume

148

Zudem hat der deutsche Gesetzgeber auch in § 4 Abs. 3 S. 3 BDSG eine Erlaubnis zur Zweckänderung im Hinblick auf Daten normiert, die im Rahmen einer Videoüberwachung öffentlich zugänglicher Räume erhoben wurden. Diese dürfen demnach – unabhängig vom ursprünglich verfolgten Zweck –auch zum Zweck der Abwehr von Gefahren für die staatliche und öffentliche Sicherheit sowie zur Verfolgung von Straftaten weiterverarbeitet werden.218 Allerdings ist in diesem Zusammenhang zu beachten, dass das Bundesverwaltungsgericht entschieden hat, dass zumindest § 4 Abs. 1 S. 1 BDSG europarechtswidrig sei (siehe Rn. 114). Auch für andere Bestimmungen des § 4 BDSG wird zumindest in der datenschutzrechtlichen Literatur vertreten, dass diese europarechtswidrig seien. Im Hinblick auf die Regelung der Zweckänderung in § 4 Abs. 3 S. 3 BDSG sprechen nach hier vertretener Ansicht aber gute Gründe dafür, dass diese Regelung europarechtskonform ist.219

149

Umstritten ist, inwieweit sich auch aus Art. 6 Abs. 1 DSGVO eine Erlaubnis zur Weiterverarbeitung personenbezogener Daten zu einem anderen Zweck ergeben kann. Teilweise wird vertreten, dass auch Art. 6 Abs. 1 lit. f DSGVO („Verarbeitung auf Basis einer Interessenabwägung“) eine Zweckänderung rechtfertigen könne.220 Teilweise wird einschränkend vertreten, dass im Rahmen von Art. 6 Abs. 1 DSGVO eine Zweckänderung nur auf die in lit. c („Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung, der der Verantwortliche unterliegt“) und lit. e („Verarbeitung zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde“) normierten Tatbestandsalternativen gestützt werden könne.221

150

Auch wenn nach hier vertretener Ansicht – insbesondere vor dem Hintergrund des Wortlauts von Art. 6 Abs. 4 DSGVO – durchaus gute Argumente dafür sprechen, dass die Verarbeitung bereits erhobener personenbezogener Daten zu einem anderen Zweck auch auf Basis von Art. 6 Abs. 1 lit. f DSGVO erfolgen kann, empfiehlt es sich für Unternehmen, aus Gründen der Haftungsvermeidung eine Zweckänderung nur dann auf Art. 6 Abs. 1 lit. f DSGVO zu stützen, wenn keine andere Alternative diese zu rechtfertigen vermag. So ist davon auszugehen, dass zumindest die Datenschutzaufsichtsbehörden wohl eher einer restriktiveren Auslegung von Art. 6 Abs. 4 DSGVO folgen werden.